При устранении проблем с подключением наша сетевая группа не имеет прав на наших серверах (Windows и RHEL) для подключения и тестирования подключения (например, при настройке правила брандмауэра билет отскакивает назад и вперед, когда они что-то изменяют, затем мы тестируем, затем они настраивают его, затем мы снова тестируем и т. д.), что значительно расширяет возможности устранения неполадок. Можно ли разрешить им запускать эти инструменты с указанных серверов с минимальным риском для безопасности?
Я знаю, что они могли бы это сделать, если бы у меня был включен TELNET или SSH, и они могли бы получить доступ к командной строке, но я бы предпочел не открывать такой большой пробел. Можно ли установить на свои серверы небольшой пакет «основных сетевых инструментов», доступный через веб-интерфейс или TELNET? Просто что-то, что дает им возможность отправлять PING с этого сервера, тестировать подключение через порты к другим местам и т. Д.
Если есть другие решения или мне не хватает чего-то очевидного, дайте мне знать.
Это действительно зависит от того, насколько вы им доверяете.
Вариант 1. Продолжайте делать это сами
Если вы им совсем не доверяете, не давайте им доступа ... хотя на самом деле они контролируют ваш брандмауэр, поэтому вы должны им хоть немного доверять. Тем не менее, ничто другое не может быть более безопасным, чем полное отсутствие доступа.
Вариант 2. Предоставьте им очень ограниченную учетную запись
Если вы верите, что они не делают ничего злонамеренного (но не доверяете им, чтобы они ничего не делали STUPID), дайте им chrooted shell, в который скопированы ping и traceroute, в которые они могут использовать SSH и запускать тесты. В зависимости от того, насколько хорошо вы это настроили, это может быть от швейцарского сыра до достаточно безопасного. Но даже если это не является неприступным, это не дает им случайно причинить вред. (Я предполагаю, что здесь Linux, поскольку вы упомянули SSH ... Windows не имеет очень хорошего эквивалента, насколько я знаю).
Это довольно легко настроить, но для этого требуется, чтобы сетевая команда авторизовалась и запускала сами команды.
Вариант 3 - трассировка через Интернет
Поскольку вы упомянули, что их вход на сервер может иметь социальные / политические проблемы, другим вариантом может быть установка очень простого веб-сайта (или папки на существующем веб-сайте, если это веб-серверы), на странице которого будут запускаться traceroute и ping ( и ничего больше). Что-то вроде http://tracert.com/, но запускать с вашего собственного сервера. Вы можете ограничить его определенным диапазоном исходных IP-адресов или потребовать имя пользователя / пароль для доступа на страницу, если это необходимо.
Если вы воспользуетесь этим методом, вы можете найти некоторые полезные существующие скрипты, выполнив поиск по запросу «web-based traceroute php», или вы можете написать свой собственный, если будете осторожны с правильным экранированием пользовательского ввода.
Это будет для них самым простым и быстрым в использовании, и дает им немного больше доступа, чем тот, который они уже имеют, поскольку они контролируют сеть.
Вы даже можете подготовить его для них заранее - если вы хотите разрешить исходящий трафик с вашего сервера example.com на 192.168.55.100, вы можете отправить им билет, например:
Измените брандмауэр, чтобы мы могли подключаться к 192.168.55.100. Не могли бы вы проверить, работает ли он, щелкнув эту ссылку и проверив, что мы можем проверить связь? http://example.com/networktools/ping.php?ip=192.168.55.100
В зависимости от уровня доверия вы также можете включить такие инструменты, как nmap, чтобы они могли проверять доступность портов.